Dados criptografados provavelmente estão perdidos definitivamente. (fDhooghe / Freeimages)
A Linha Defensiva tem recebido recentemente mensagens de leitores com dúvidas sobre ransomwares e também sobre a ferramenta TE94decrypt.exe.
Ransomwares são códigos maliciosos que “sequestram” os arquivos do computador por meio de uma cifra criptográfica. Ou seja, os dados dos arquivos são “embaralhados” e não podem mais ser usados.
As pragas exibem telas que dizem que você precisa efetuar um pagamento de dezenas ou centenas de dólares para ter seus arquivos de volta. Os arquivos ficam com extensões variadas, como .exx, entre outras. Os golpistas lucram com o golpe — o objetivo do vírus não é simplesmente “destruir” os dados. Eles estão lá, mas inacessíveis.
Mesmo quando esses vírus são removidos, os arquivos não são restaurados para o estado original.
Antigamente era possível restaurar os arquivos, decifrando-os. Foi nessa época (2011 e 2012) que a fabricante de antivírus Dr. Web criou diversas ferramentas para a recuperação dos arquivos, entre elas a TE94decrypt. Usando o TE94decrypt era possível ter os arquivos de volta.
Infelizmente, esse não é mais o caso. O TE94decrypt é inútil contra os ransomwares modernos.
CryptoLocker e o par de chaves
Desde 2014, com a disseminação da praga CryptoLocker, a “tecnologia” dessas pragas digitais evoluiu e passou a usar uma fórmula criptográfica de chaves públicas e privadas. Nesse modelo, a chave que cifra e a chave que decifra são diferentes.
Isso significa que o vírus é capaz de cifrar ou embaralhar os dados sem que a chave que os decifra tenha qualquer contato com o computador.
Em alguns vírus, em que a chave é a mesma, é possível recuperar os arquivos fazendo uma busca na memória do computador, por exemplo. Mas, quando a chave é diferente, isso não é mais possível.
Para piorar, as chaves usadas para cifrar os arquivos são longas e altamente seguras. Esse tipo de criptografia é considerada de “padrão militar” e, para quebrá-la, é necessário um supercomputador trabalhando durante anos ou até décadas.
Existe outro meio de recuperar?
Os ransomwares gravam os dados criptografados “ao lado” do arquivo original e só depois apagam o arquivo.
Quando arquivos são apagados, eles não “somem” do disco. O sistema operacional marca o espaço que eles ocupavam como livre, mas os dados ainda estão lá.
Isso significa que as informações ainda podem ser recuperadas, desde que outro arquivo não tenha sido colocado no lugar. Se dados foram ou não colocados no lugar — isso depende da sorte.
Programas de recuperação de dados como o Recuva podem mostrar dados que ainda estão no disco e que foram apagados. É a única maneira de obter de volta alguma coisa.
Backup, backup, backup
Os ransomwares demonstram a importância de um backup. Um backup feito corretamente é uma cópia extra de um arquivo armazenada em uma mídia inacessível (como um disco externo que não está sempre conectado ao computador, um DVD-R, etc).
Não adianta fazer “backup” para um HD externo que está sempre ligado ao computador — o vírus também pode danificar ou cifrar esses arquivos. A mídia de backup precisa ser exclusiva para essa finalidade; ela não é um “armazenamento extra” sempre disponível.
Se os arquivos foram cifrados e você tem um backup, basta restaurar o backup após remover o vírus.
Linha Defensiva 
Trabalho em uma empresa que presta consultoria de TI. Nas últimas semanas tivemos problemas de infecção por Ransoware em vários de nossos clientes. Realmente é um dos mlawares que tem dado mais dor de cabeça nos últimos tempos. Excelente post, bem explicativo!
CurtirCurtir
Como conseguiu resolver???
CurtirCurtir
Infelizmente a única forma de resolver o problema é voltando um backup.
CurtirCurtir
eu consegui recuperar os arquivos pelo cmd atraves de um script
CurtirCurtir
como vc recuperou marcio?
CurtirCurtir
Marcio Boa tarde, Por favor, qual script vc usou para restaurar os arquivos corrompidos ?
CurtirCurtir
poderia informar qual script utilizou?
CurtirCurtir
Bom ver a Linha Defensiva na ativa novamente!
Os especialistas sempre dizem que precisamos ter no mínimo 5 backups, vou tentando me virar por aqui :)
Uma dúvida: Esses ransonwares, podem bagunçar arquivos em Cloud também?
CurtirCurtir
Como muitos serviços de cloud espelham uma pasta do PC automaticamente, eles podem cifrar esses arquivos também. Mas os serviços de cloud costumam ter uma opção embutida para restaurar versões anteriores dos arquivos.
Não é preciso ter cinco backups. Basta um. O que às vezes é bom é ter backups de datas diferentes. Isso é para o caso de um arquivo ter sido corrompido em determinado ponto e isso não foi percebido e a cópia do backup também está corrompida. Aí o único meio de restaurar é tendo um backup anterior.
CurtirCurtir
Valeu, valeu, muito obrigado!
Sanou a dúvida! :)
CurtirCurtir
Ótima recomendação, man!
CurtirCurtir
Bom dia, podemos ajudar em caso de virus que criptografa seus arquivos mande 1 arquivo .doc para email marcosadir@outlook.com para analise.
CurtirCurtir
Excelente post com ótimas recomendações. Irei trabalhar mais com backups. O HD externo não é muito interessante justamente por causa da característica citada de ser usado com certa frequência.
CurtirCurtir